我需要有关配置防火墙 ASA 5505 连接到 02 wan 连接的帮助
interface Vlan1
nameif inside
security-level 100
ip address 192.168.254.1 255.255.255.252
interface Vlan2
description LINK TO THE OUTSIDE - INTERNET
nameif outside
security-level 0
pppoe client vpdn group ******
ip address pppoe setroute
interface Vlan3
description Link Wan Router 2
no forward interface Vlan2
nameif outside2
security-level 0
ip address 192.168.50.1 255.255.255.252
interface Ethernet0/0
switchport access vlan 2
interface Ethernet0/1
switchport access vlan 3
object network obj_any
nat (inside,outside) dynamic interface
route outside2 x.x.x.x 255.255.255.255 192.168.50.2 1
route outside2 y.y.y.y 255.255.255.255 192.168.50.2 1
route outside2 z.z.z.z 255.255.255.255 192.168.50.2 1
route 0.0.0.0 0.0.0.0 (pppoe path) // to internet
route inside a.a.a.a 255.255.255.0 internal_gw_ip
route inside b.b.b.b 255.255.255.0 internal_gw_ip
route inside c.c.c.c 255.255.255.0 internal_gw_ip
access-list 101 extended permit ip host x.x.x.x any
access-list 101 extended permit ip host y.y.y.y any
access-group 101 in interface outside2
互联网可以工作,但 (内部到外部 2) 或 (外部 2 到内部) 之间无法通信
答案1
ASA 每次只能使用一个 WAN 连接(即使在最新的 9.x 固件中也是如此)。您可以使用sla monitors 和track默认路由的参数配置 WAN 冗余。
例如:
sla monitor 10
type echo protocol ipIcmpEcho 8.8.8.8 interface onecomm
sla monitor schedule 10 life forever start-time now
sla monitor 20
type echo protocol ipIcmpEcho 8.8.4.4 interface comcast
sla monitor schedule 20 life forever start-time now
route wan0 0.0.0.0 0.0.0.0 192.0.2.137 1 track 10
route wan1 0.0.0.0 0.0.0.0 198.51.100.46 2 track 20
注意 1:没有必要在两者上都放置 SLA 监视器,但我想展示一下,以防看到此内容的人有超过 2 个连接,很容易弄清楚如何为任意数量的连接配置 ASA。
注意 2:配置与 WAN 连接一样多的监视器的唯一危害是,如果两个连接都断开,则没有默认路由,如果您使用“远”监控目标,这将是一个问题。该示例使用 Google 的 DNS 服务器,这些服务器不在本地链接上。如果您使用链接的 DG,则目标始终是本地的;即使您的连接上游存在问题,这也意味着连接仍被视为“已启动”...
总结ASA 无法跨多个 WAN 连接进行负载平衡。仅支持冗余。当然还有其他设备可以进行负载平衡...
答案2
您的 outside2 链接是否有匹配的 nat 语句?您发布的配置中只有一个。您需要这个:
object network obj_any2
nat (inside,outside2) dynamic interface
只要您拥有 Security Plus 许可证,您将能够使用路由允许流量按照您的配置通过两个接口。